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AKTUELL MIELA Test: Betriebssysteme 


Windows‘ 


Welches Betriebssystem schützt Ihren PC am besten? 


ir hätten die Kollegen warnen 
sollen: Immer wenn jemand die 
Gretchenfrage nach dem sichers- 


ten Betriebssystem stellt, löst die Antwort 
— egal wie sie ausfällt — einen Sturm der 
Entrüstung aus. So erging es kürzlich 
auch dem Marktforschungs-Institut For- 
rester Research (www.forrester.com). Ein 
Jahr lang verglichen die Marktforscher, 
welche Sicherheitslücken in Windows 
und verschiedenen Linux-Distributionen 
auftraten und wie schwerwiegend sie wa- 
ren. Das Ergebnis: Laut Forrester konnte 
Microsoft als einziger alle aufgetauchten 
Lücken schließen — und das auch noch 
am schnellsten. Die Hersteller der ver- 
schiedenen Linux-Derivate wie SuSE, Red 
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Hat, Mandrake und Debian brachten es 
„nur“ auf rund 99 Prozent - bei längeren 
Reaktionszeiten. Kaum war die Studie im 
März 2004 veröffentlicht, hagelte es Kritik 
von Linux-Distributoren und -Anhän- 
gern, die den praktischen Nutzen der For- 
rester-Methodik in Zweifel zogen. 

Wir wissen also, worauf wir uns einlas- 
sen — und wagen trotzdem den Vergleich 
von Äpfeln mit Birnen. Wir schicken je- 
weils einen Vertreter aus allen drei Welten 
zum CHIP-TUV: Windows XP Professio- 
nal, SuSE Linux (die in Deutschland ver- 
breitetste Distribution) in der Version 9.1 
Professional und MacOS X 10.3.3. Alle 
drei Betriebssysteme durchlaufen die glei- 
chen Prüfstufen. 
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Sind MacOS und Linux wirklich 
sicherer als Windows? CHIP 
testet die Sicherheitsdecke 
aller drei Systeme — und zeigt, 
wie Sie die Löcher stopfen, die 
wir gefunden haben. 

Von Fabian von Keudell, Jörg 


Geiger und Daniel Schmid 


Stufe 1 -— Sicherheit im Internet: Jedes 
Betriebssystem wird zunächst „out-of- 
the-box“, also ohne Patches, installiert und 
dem Online-Check der Sicherheitsprofis 
von Qualys unterzogen. Dieser Härte-Test 
klopft das gesamte System auf bekannte 
Sicherheitslecks ab — derzeit über 3.500 — 
und teilt sie in fünf Gefahrenstufen ein. Je 
höher die Einstufung, umso schwerwie- 
gender die Sicherheitslücke. 
Anschließend spielen wir alle zum 
Testzeitpunkt verfügbaren Service Packs, 
Patches und Updates ein. Falls die Fire- 
wall nicht automatisch eingeschaltet ist, 
aktivieren wir sie manuell. Danach 
schicken wir alle drei Betriebssysteme 
nochmals durch den Lücken-Test. Die 


VS. 


Composing: S. Schönberger 


Linux vs. Apple 


kompletten Vorher-Nachher-Testergeb- 
nisse und alle Details zum Testverfahren 
finden Sie auf 953. 

Alle drei Betriebssysteme bringen 
außerdem verschiedene Browser mit, die 
unterschiedlich vorkonfiguriert sind und 
andere Techniken nutzen. Der von Linux 
beispielsweise kennt potenziell gefährli- 
che Programmiersprachen wie ActiveX 
und VBS erst gar nicht. Die als Tor zum 
Internet besonders anfälligen Browser 
schicken wir deshalb extra durch einen 
Browser-Test des Sicherheitsspezialisten 
scanit (http://bcheck.scanit.be/bcheck). 
Dieser prüft unter anderem, ob Java, 
JavaScript, ActiveX oder das Umleiten auf 
andere Domains möglich ist. 


Stufe 2 - Alle Lücken manuell stopfen: 
Sofern trotz Patches und Updates noch 
Sicherheitslöcher vorhanden sind, egal ob 
im Browser oder im Betriebssystem, stop- 
fen wir diese selbst; soweit es geht mit 
Bordmitteln. Wenn diese nicht mehr aus- 
reichen, etwa beim Virenschutz, nennen 
wir die eingesetzten Tools. 


Stufe 3 - Sicherheit auf dem Rechner: 
Nicht jede Gefahr kommt aus dem Inter- 
net. Manchmal sitzt der Spion auch im 
Büro nebenan. Wir haben deshalb auch 
die Sicherheitsstrategien der drei Be- 
triebssysteme auf lokaler Ebene genauer 
unter die Lupe genommen. Wie leicht las- 
sen sich Anmelde-Passwörter aushebeln 


und wie gut sind sie verschlüsselt? Auch 
Benutzerverwaltung und Rechtevergabe 
spielen eine große Rolle: Welche Möglich- 
keiten haben zum Beispiel Administrato- 
ren, Bereiche der Festplatte nur für 
bestimmte User-Gruppen zugänglich 
zu machen? Auch benutzerfreundliche 
Backup-Konzepte Daten- 
sicherheit bei. 

Auf diese Weise zeigt unser 3-Stufen- 
TÜV also die Stärken und Schwächen der 
drei Betriebssysteme auf. Und nebenbei 
erklären wir Ihnen auch noch genau, 
wie Sie Ihr eigenes Betriebssystem zur 
Festung ausbauen: für Windows XP ab 
552, für SuSE Linux ab B56 und für 
MacOSX ab Ẹ 60. 


tragen zur 
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AKTUELL Mpal Test: Betriebssysteme 


AX Windows XP 


Leicht hat es Microsoft mit Windows wahrlich nicht, denn täglich geistern 
Meldungen über neue Sicherheitslücken durchs Web. Was ist dran, am Vorurteil 
vom unsicheren Betriebssystem — und wie lassen sich die Löcher stopfen? 


E Logisch, dass das am weitesten verbrei- 
tete Betriebssystem die meisten Hacker 
und Virenprogrammierer anzieht. Denn 
wer auf eine Windows-Lücke zielt, richtet 
auch am meisten Schaden an. 


Sicherheit im Internet 


Out-of-the-box sieht es bei Microsoft zu- 
nächst gar nicht gut aus. Über 25 Sicher- 
heitslöcher bringt der Qualys-Check 
(siehe Kasten rechts) ans Licht, deutlich 
mehr als SuSE Linux und MacOS X, fünf 
davon sogar in den höchsten Gefahren- 
stufen. Doch Microsoft schafft mit dem 
Service Pack 2 und aktuellen Patches Ab- 
hilfe. Nach deren Installation glänzt Win- 
dows XP im Lücken-Test mit einer wei- 
ßen Weste. Ohne aktuelles Update sollten 
Sie sich mit XP also nicht ins Web wagen. 


Sicherheits-Updates installieren 


Sie müssen nicht jeden Tag aufs Neue 
nach Updates suchen, denn die Redmon- 
der stellen sie gesammelt jeden zweiten 
Dienstag im Monat ins Internet. Von dort 
laden Sie diese entweder manuell herunter 
(http://windowsupdate.microsoft.com), 
oder über das in Windows XP integrierte 
Update-Modul. Sie können diese Auto- 


Wesentliche Sicherheitsmaßnahmen 
Schützen S Computer, indem Se sichers 


© Firewall 


@ Automatische Updates 


P Virenschutz 


Es wurde keine Antimirussoftware auf diesem Computer 


Hinweise zur Vorgehensweise zu erhalten. Wis trägt Antivirussoftware n 


n, dass alle diese Einstellungen aktiviert sind 


gefunden. Antivirussoftware schützt den 
Computer vor Viren und anderen Sicherheitsbedrohungen. Klicken Sie auf "Empfehlungen", um 
um Schutz des Computers 


matik so konfigurieren, dass Ihr Betriebs- 
system alle neuen Updates und Patches 
selbst holt und installiert. 


Aktivierte Firewall inklusive 


Erst mit dem Service Pack 2 ist die Fire- 
wall automatisch eingeschaltet 
schützt damit alle wichtigen Netzwerk- 
und DFÜ-Verbindungen. Alle ICMP-Pa- 
kete, wie beispielsweise den Ping-Befehl, 
blockt das System komplett. Damit sind 
Sie fast unsichtbar im Internet unterwegs: 
Alle Anfragen potenzieller Angreifer an 
Ihren Rechner leitet XP ins Datennirwa- 
na. Hier bedarf es keiner weiteren Einstel- 
lungen, alles ist optimal konfiguriert. Und 
sollte das eine oder andere Programm, 
etwa eine Tauschbörse, doch einen Port 
benötigen, fragt Windows automatisch 
nach, ob es diesen öffnen darf. 


und 


Extra Virenschutz installieren 


Die Virenautoren haben sich auf Win- 
dows eingeschossen: Laut Antiviren-Her- 
steller Sophos gab es 2003 mehr Viren 
und Würmer als je zuvor — Tendenz stei- 
gend. Da die meisten Virenautoren eine 
Vielzahl von Rechnern infizieren wollen, 
bietet sich Windows mit einem Marktan- 
teil von 90 Prozent bei Home Computern 
geradezu an. Schutz gegen diese 
Gefahren bietet Windows XP von 
sich aus allerdings nicht. Diese 
Aufgaben müssen zusätzliche Pro- 
gramme, in diesem Fall Viren- 
z scanner, übernehmen. Dazu eig- 
nen sich zwei Programme, die bei 
In-the-wild-Viren gute Dienste 
leisten. Das Kaufprogramm Anti- 


bei? 
Hinweis: Windows erkennt nicht alle Antivirusprogr amme. 


| Empfehlungen 


Service Pack 2: Das neue Sicherheitscenter zeigt, ob 
Firewall und Updates auf dem neuesten Stand sind. 
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VirenKit 2004 Professional von 
G Data (www.gdata.de) schnappt 
sich jeden Virus dank zweier Scan- 
Engines. Nachteil: Das Programm 
erkauft sich den wirksamen > 
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Sicherheits-Check 
vom Profi 


Um die Sicherheit der Systeme zu tes- 
ten, hat CHIP in Zusammenarbeit mit 
den Experten des US-Unternehmens 
Qualys einen aufwendigen Online- 
Check durchgeführt. Qualys ist eine der 
weltweit führenden Sicherheitsfirmen 
(„Best Security Service 2004“, SC Maga- 
zine Global Award) und führt pro Quar- 
tal rund eine Million Security-Analysen 
durch. Zu den Referenz-Kunden zählt 
unter anderem auch die US-Regierung. 
Für Privatkunden bietet Qualys einen 
kostenlosen Check an (https://free 
scan.qualys.com/), der sich auf die 
zehn schwerwiegendsten Sicherheits- 
löcher bezieht. Die Profi-Checks sind 
nur für Unternehmen und kosten einen 
fünfstelligen Betrag. 


QUALYSGUARD 


Home 


Welcome to QualysGuard, the on-demand network security = 
Main Menu, located across the top of your screen 


Latest Vulnerabilities Most Vulnerable Hosts 


View [aD | Category [Na 


© 


P 12075 CGI PH 
E 86658 Web server Mic 
EP 86657 Web server Mic 
Æ 62041 Proxy AP 
EP 86656 Web server BE 
EP 1137 Backdoors and trojan horses wi 
Æ 86655 Web serer BE 


Online-Check: Qualys spürt Sicherheits- 
lücken im System auf. 


In der von uns eingesetzten Enterprise- 
Version scannt das von Qualys entwi- 
ckelte Test-Programm den Rechner 
nach derzeit über 3.500 bekannten und 
schwerwiegenden Sicherheitslücken. 

Dabei arbeitet der Test mit sehr gro- 
Ber Genauigkeit, die Fehlerrate beträgt 
weniger als 0,003 Prozent. Der Sicher- 
heits-Check testet alle relevanten 
Sicherheitsmerkmale des Rechners im 
Bereich Internet- und Online-Sicher- 
heit. Die Lücken, die gefunden werden, 
teilt Qualys in fünf verschiedene Stufen 
ein: Stufe eins steht für geringste Ge- 
fahr, Stufe fünf kennzeichnet schwer- 
wiegende Sicherheitslecks im System. 
Info: www.qualys.com 


DIE TESTERGEBNISSE VON QUALYS-GUARD 


Mg 
Ay Windows XP Prof. 


» Standard-Installation 


Gefahrenstufe Anzahl der Sicherheitslecks 
hoch 5 MEHE 4 
am 1 
3 HEBEN 5 
2 HEHEH 4 
niedrig1 MEN EEE Eu En En En EEE 11 


Gesamtrisiko 6 6 6 6 é 


Beim ersten Test zeigt Qualys, dass Windows 
frisch aus der Packung offen wie ein Scheunentor 
ist — nicht gerade vertrauenserweckend. 


> Installation mit Patches & Updates 
Gefahrenstufe Anzahl der Sicherheitslecks 


hoch 5 0 
4 0 
3 0 
2 0 
niedrig1 0 


Gesamtrisiko 


Überraschung: Nachdem Patches und Updates 
installiert sind, zeigt sich Windows von seiner 
besten Seite — keine Sicherheitslöcher mehr. 


EM Laut Microsoft haben die wenigsten 
User ein „nacktes“ Windows ohne Sicher- 
heitspatches installiert — und das ist auch 
gut so. Denn der Qualys-Test fand sage 
und schreibe 25 Sicherheitslecks, fünf 
davon sogar in den höchsten Gefahren- 
stufen. Das Gesamtrisiko des XP-Rechners 
stufte die Sicherheitsfirma als extrem ge- 
fährdet (Stufe 5) ein. 

Die von Qualys gefundenen Lücken 
sind fast allesamt Programmierfehler in 
bestimmten Windows-Diensten. So zeigt 
der Test beispielsweise die Sicherheits- 
lücke im Windows Messenger auf, durch 
den sich Angreifer Zugang zum System 
verschaffen können. Aber auch zahlreiche 
Sicherheitslecks durch die berüchtigten 
Puffer-Überläufe füllen die Mängelliste 
des Testberichts. Auf diese Lücken greifen 
auch aktuelle Würmer wie Blaster oder 
Sasser zurück. Die restlichen Lücken be- 
treffen — wie bei Linux — Dienste, die In- 
formationen über den Rechner preisge- 
ben, etwa ICMP (Internet Control Messa- 
ge Protocol, siehe Glossar E) 54), über den 
der Angreifer unter anderem erfahren 
kann, welchen Provider Sie verwenden. 

Bei so vielen potenziellen Angriffs- 
punkten war die Überraschung nach dem 
Aufspielen der Updates und des Service 
Pack 2 groß: Alle Lücken waren geschlos- 
sen, keine Informationen über den Rech- 
ner von außen mehr sichtbar - ein großer 
Pluspunkt für Microsoft. 


SuSE Linux 9.1 prof. 


> Standard-Installation 


Gefahrenstufe Anzahl der Sicherheitslecks 
hoch 5 0 
4 0 
3 mM 1 
2 EHE 2 
niedrig UENENEEEN EN ENENENEN EHEN 12 


Gesamtrisiko 6 6 é 


Bei SuSE Linux sieht es schon weit besser aus 
als bei Windows, dennoch ist das Gesamtrisiko 
immer noch viel zu hoch. 


> Installation mit Patches & Updates 
Gefahrenstufe Anzahl der Sicherheitslecks 


hoch 5 0 
4 0 
3 0 
2 0 
niedrig1 WOMEN 5 


Gesamtrisiko 6 


Nach dem Einspielen der Updates und wenigen 
Mausklicks in den Systemoptionen ist auch SuSE 
Linux kaum noch angreifbar. 


E Das Vorurteil, Linux sei bombensicher, 
wird in der Standard-Installation von 
SuSE relativiert: 15 Lücken findet Qualys, 
allerdings sind sie bei weitem nicht so ris- 
kant wie bei Windows. Das Gesamtrisiko 
für einen Angriff ordnet Qualys als mittel- 
schwer auf Stufe 3 ein. 

Die Lecks betreffen fast nur nach außen 
hin sichtbare Dienste. Als Angriffspunkte 
kommen sie nur in Frage, wenn Fehler in 
diesen Services auftauchen. Die einzige 
Lücke der Stufe 3 betrifft „Secure Shell“ 
(SSH), die für eine sichere Verbindung sorgt. 
Diese OpenSSH-Version enthält einen Bug, 
der Angreifern Zugang mittels Puffer-Über- 
lauf erlaubt. Zwei weitere Lücken (Stufe 2) 
betreffen den RPC-Dienst und ICMP-Mel- 
dungen. Nach außen hin sichtbar ist ein 
Portmapper, der RPC-Anfragen an System- 
Dienste weiterleitet. Schafft es ein Angrei- 
fer, ihn zu umgehen und einen Dienst zu 
starten, kann er Zugang zum Linux-System 
über einen privilegierten Port bekommen. 

Auch das Online-Update ändert daran 
nichts, erst mit manuell aktivierter Fire- 
wall sind 10 Lücken zu. Nach wie vor rea- 
giert SuSE auf Pings: So lässt sich testen, 
ob ein Rechner erreichbar ist. Gleichzeitig 
kann mit dem Traceroute-Befehl der Weg 
der Datenpakete verfolgt werden. Schließ- 
lich kann ein Angreifer über eine „Whois“- 
Abfrage unter www.ripe.net/perl/whois 
ermitteln, bei welchem Provider Sie ein- 
gewählt sind. 


MacOS 10.3.3 


> Standard-Installation 


Gefahrenstufe Anzahl der Sicherheitslecks 
hoch 5 0 
4 0 
3 0 
2 0 
niedrig HEHHEHE 6 


Gesamtrisiko 6 


Apple macht keine Kompromisse und riegelt das 
System schon im Rohzustand nahezu vollständig 
sicher ab - sehr gut. 


> Installation mit Patches & Updates 
Gefahrenstufe Anzahl der Sicherheitslecks 


hoch 5 0 
4 0 
3 0 
2 0 
niedig1 | 2 


Gesamtrisiko é 


Die installierten Patches machen keinen großen 
Unterschied mehr. Noch ein paar Lücken weniger 
und MacOS ist sicher. 


E Nach der Standard-Installation von 
MacOS X meldet Qualys sechs Lücken in 
der niedrigsten Gefahrenstufe 1, damit 
ist das Apple-Betriebssystem, zumindest 
out-of-the-box, das sicherste System. 
Vier Lücken gehören in den Bereich In- 
formationsbeschaffung. Wie Linux und 
Windows lässt auch MacOS ICMP-Anfra- 
gen durch, etwa den Ping-Befehl und die 
Antwort, dass diverse Ports geschlossen 
sind. Es ist zudem möglich, von außen 
über den Befehl »traceroute« den Weg 
eines Datenpakets zu ermitteln und Infor- 
mationen über den Befehl »whois« zu re- 
cherchieren. Im TCP- und UDP-Bereich 
(siehe Glossar 5)54) bemängelt Qualys 
zwei offene UDP-Ports: 514 (syslog) und 
1434 (ms-sql-m). Syslog wird meist bei 
Netzwerkgeräten (Hubs, Router) einge- 
setzt, Port 1434 bei der SOL-Authentifi- 
zierung. Beide sind jedoch ungefährlich. 
Insgesamt surft man also mit der Grund- 
konfiguration bereits entspannt im Web. 
Auch hier ändern die Updates nichts, 
denn sie betreffen unter anderem die Be- 
reiche AFP (Apple Filesharing Protokoll), 
CUPS (Drucksystem), Mail, IPSec und 
OpenSSL. Erst nach dem Anpassen der 
Firewall-Regeln beim internen BSD-Paket- 
filter „ipfw“ zeigt Qualys nur noch zwei 
Einträge der Stufe 1 an — etwa die 
„Reachable Hostlist“. Die zeigt, dass der 
Mac beim Provider mit einer IP-Adresse 
und einem DNS-Namen registriert ist. 


é Gesamtrisiko: Aus Anzahl und Schwere der gefundenen Sicherheitslücken ermittelt Qualys das Gesamtrisiko: von Level 0 (keine rote Bombe) bis Level 5 (5 rote Bomben). 
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AKTUELL MIELA Test: Betriebssysteme 


Schutz mit einem extremen Verbrauch 
an Performance. Schneller geht das kos- 
tenlose Tool AntiVir Personal Edition 
(www.free-av.de) vor. Sein Nachteil: Bei 
Zoo-Viren (künstliche, zu Forschungs- 
zwecken programmierte Viren) kann es 
mit dem Programm AntiVirenKit von 
G Data nicht mithalten. 

Wer ganz auf Nummer sicher gehen 
will, installiert noch die Software von 
PivX. Das Tool Qwik-Fix (www.pivx. 
com) geht einen neuen Weg: Es schützt 
Ihren PC, noch bevor der Hersteller 
einen Patch herausgebracht hat. Dies er- 
reicht das Tool, indem es die Sicherheits- 
lücke schon vorher behebt, also etwa an- 
gegriffene Ports sperrt. PivX ist noch in 
der Beta-Phase, dafür aber kostenlos. 


Browser absichern 


Als Browser enthält Windows XP den 
Internet Explorer 6. Wir fahren den 
Browser-Check „browser security test“ 
der Firma scanit. Wie beim Qualys-Test 
zeigt sich: Unbedingt alle Updates instal- 
lieren! Erst nachdem damit alle Lücken 


GLOSSAR 


„Gefährliche Dienste 


Viele Sicherheitslücken betreffen Diens- 
te und Protokolle. Hier die wichtigsten: 


ICMP: Das Internet Control Message 
Protocol transportiert Fehlermeldun- 
gen für die Netzwerk-Protokolle IP, UDP 
und TCP. Die bekannteste ICMP-Mel- 
dung ist der Ping-Befehl. Die Vielfalt 
an ICMP-Meldungen (etwa 20) erlaubt 
es Angreifern, Informationen über ein 
System zu sammeln, indem sie die ent- 
sprechenden ICMP-Pakete senden. 


RPC: Das Remote Procedure Call Proto- 
col startet Funktionen auf anderen Rech- 
nern, etwa beim Remote Computing. 


UDP: Das Users Datagram Protocol ist 
wie TCP ein Kommunikations-Protokoll 
zwischen Rechnern. Wie TCP kommuni- 
ziert UDP über das Internet Protocol (IP). 


TCP/IP: Das Internet Protocol (IP) frag- 
mentiert und adressiert Daten und 
übermittelt sie. Das Transmission Con- 
trol Protocol (TCP) baut darauf auf, sorgt 
für die Einsortierung der Pakete in der 
richtigen Reihenfolge und gewährleistet 
eine störungsfreie Kommunikation. 
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geschlossen waren, meldete der Test keine 
Angriffspunkte mehr. Auch die Problem- 
kinder ActiveX und VisualBasic-Script 
stellen jetzt keine Gefahr mehr dar. 

Um auch gegen zukünftige Attacken 
gerüstet zu sein, sollten Sie ActiveX, Java 
und JavaScript deaktivieren und nur bei 
Bedarf einschalten. Denn über diesen 
Dienst richten Angreifer die meisten 
Schäden an. Dazu öffnen Sie den Internet 
Explorer und klicken dann im Menü 
»Extras« auf »Internetoptionen«. Wählen 
Sie im folgenden Fenster den Reiter 
»Sicherheit« und drücken Sie auf »Stufe 
anpassen«. Aktivieren Sie nun vor »Active- 
X-Steuerelemente und Plugins ausfüh- 
ren« die Option »Eingabeaufforderung«. 
Windows XP fragt jetzt bei jedem ActiveX- 
Element nach, ob der Internet Explorer 
es ausführen soll. Gleiches gilt für Java, 
setzen Sie im selben Fenster die Java-Ein- 
stellungen auf »Hohe Sicherheit«. 


Sicherheit auf dem Rechner 


Unter XP können Sie für jeden Anwender 
einen eigenen Account anlegen. Hier ste- 
hen zwei Varianten zur Auswahl: entwe- 
der mit allen Rechten und vollem Zugriff 
auf alle Funktionen des Betriebssystems 
oder mit eingeschränkten Rechten. User 
der zweiten Kategorie sollen so zwar auf 
Ihr System zugreifen, aber keine Software 
installieren oder Systemeinstellungen 
ändern können. In der Praxis weisen Be- 
nutzerverwaltung und Passwort-Zugang 
aber einige Lücken auf. 


Benutzerkonten absichern 


Sie können vor den Start von XP die Ab- 
frage eines BIOS-Passworts setzen. So ist 
es nur Usern, die das Kennwort wissen, 
möglich, den PC hochzufahren. Zwar 
lässt es sich durch Ausbau der Mother- 
board-Batterie löschen, einen Grund- 
schutz bekommen Sie so jedoch allemal. 

Die Kennwörter der Benutzerkonten 
speichert XP als Hash-Wert (ähnlich einer 
Quersumme). Wenn Sie ein Passwort 
eingeben, rechnet Windows es um und 
vergleicht den errechneten Hash-Wert 
mit dem gespeicherten. Stimmen sie über- 
ein, erhalten Sie Zugriff auf das System. 
Windows legt diese Werte in der Datei 
SAM ab, die im Verzeichnis »c:\windows\ 
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Test Your Browser's Security Now! 
Your browser reports to be 


Browser Mozilla/5.0 (Macintosh: U; PPC Mac OS X: en) 
name AppleWebKit/124 (KHTML, like Gecko) Safari/125.1 


Version: unknown 
Platform: unknown 


We did not check if Browser Security Test works with your 
version of the browser. That means that it might not work at all or 
crash your browser. We dont have any tests that check for 
vulnerabilities specific to your browser version. The test often 
shows false positives for untested browsers. If you still want to 
run the tests, please click on the button below 


Test Internet Explorer bugs 
Test Mozilla bugs 

Test Opera bugs 

© Run all available tests 


AR Start the test 


Checkt alles: Der Browser-Test sucht bei 
allen Testkandidaten nach Lücken. 


system32\config« liegt. Doch so sicher wie 
es klingt, ist das bei weitem nicht: Angrei- 
fer, die lokalen Zugriff auf das System ha- 
ben, können mit ein paar einfachen Tools 
aus dem Internet den gespeicherten 
Hash-Wert mit ihrem eigenen Hash-Wert 
überschreiben und sich so einem Benut- 
zer zuordnen. Dadurch erhalten sie 
Zugriff auf das System. 

Abhilfe schafft das als sehr sicher gel- 
tende EFS (Encrypting File System), mit 
dem Sie das Dateisystem verschlüsseln 
können, damit nur berechtigte Benutzer 
Einblick auf die Festplatte bekommen. 
Starten Sie »Start | Ausführen | syskey« 
und drücken Sie [Enter]. Im folgenden 
Dialog gehen Sie auf »Aktualisieren«. Da- 
nach stehen mehrere Optionen zur Verfü- 
gung (siehe Bild unten). Der sicherste 
Weg: Lassen Sie sich vom System ein Pass- 
wort generieren und speichern Sie es 
anschließend auf eine Diskette, die Sie bei 
jedem Systemstart einlegen müssen. 


Kontendatenbankschlüssel x] 


-O Kennwort für den Systemstart 


e Eingabe eines Kennworts währe 


M Vom System generiertes Kennwort 


@ Schlüssel für den Systemstart auf Diskette speichern 
Erfordert das Einlegen einer Diskette während 
dem Systemstart. 


C Schlüssel für den Systemstart lokal speichern 
Speichert den Schlüssel als Teil des 
Betriebssystems. Es ist kein Eingriff während 
dem Systemstart erforderlich. 


Verschlüsselt: Das Encrypting File System 
sichert unter Windows XP den Zugang. 


Bei der Benutzerverwaltung gibt es eine 
weitere Sicherheitslücke. Ändert ein Be- 
nutzer sein Kennwort, speichert Windows 
dieses in zwei Hash-Werte. Beide legt XP 
wieder in der SAM-Datei ab. Der zweite 
Wert heißt LMHash (LAN Manager 
Hash), er ist ein Überbleibsel aus Win- 
dows-3.1-Zeiten und wird nur aus Grün- 
den der Kompatibilität angelegt. Hacker 
haben hier leichtes Spiel, weil LMHash 
nur Großbuchstaben kennt und sich so 
die Zahl der möglichen Kennwort-Kom- 
binationen drastisch verringert. Wenn Sie 
nur XP einsetzen, sollten Sie den zweiten 
Hash-Wert deshalb deaktivieren. Klicken 
Sie dazu im Menü »Start« auf »Ausfüh- 
ren«, tippen Sie »regedit« ein und klicken 
Sie auf »OK«. Gehen Sie dann zum 
Schlüssel »HKEY_LOCAL_MACHINE\ 
SYSTEM\CurrentControlSet\Control\ 
Lsa«. Klicken Sie auf der rechten Seite 
doppelt auf »nolmhash« und geben Sie 
unter »Wert« die Ziffer »l« ein. Nach 
einem Klick auf »OK« beenden Sie den 
Registry-Editor und starten den PC neu. 


Ordner verschlüsseln 


Wenn Sie XP Professional nutzen, können 
Sie NTFS-Ordner codieren. Dazu klicken 
Sie den Ordner mit der rechten Maustaste 
an und wählen »Eigenschaften«. Unter 
»Erweitert« gehen Sie auf »Inhalt ver- 
schlüsseln, um Daten zu schützen«. Die 
Dateien sind nun mit einem 4.096-Bit- 
Schlüssel gesichert — ein Hacker-Leben 
würde zum Knacken nicht ausreichen. 
Die Verschlüsselung benutzt kein Pass- 
wort, sondern ein äußerst sicheres Zertifi- 
kat, das auf dem Rechner installiert sein 
muss und als Schlüssel dient. Nur mit 
ihm bekommt der Hacker Zugriff auf die 
Daten. Exportieren Sie deshalb das Zerti- 
fikat und löschen Sie es von der Festplatte. 
Nur so sind die verschlüsselten Daten 
wirklich sicher. So geht’s: Klicken Sie im 
Menü »Start« auf »Einstellungen«, dann 
auf »Systemsteuerung« und schließlich 
doppelt auf »Internetoptionen«. Im Rei- 
ter »Inhalte« wählen Sie »Zertifikate«. 
Klicken Sie auf »Exportieren« und wählen 
Sie »Weiter«. Die erscheinende Option 
»Ja, privaten Schlüssel exportieren« akti- 
vieren Sie. Das nächste Fenster können 
Sie mit »Weiter« überspringen. Nun ver- 
geben Sie ein Kennwort. Als Speicherort > 
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für den Schlüssel sollten Sie zunächst die 
Festplatte nutzen. Die weiteren Meldun- 
gen bestätigen Sie. Sie finden sich jetzt bei 
der Zertifikatsübersicht wieder. Wählen 
Sie »Entfernen« und bestätigen Sie die 
Sicherheitsabfrage mit »Ja«. Verschieben 
Sie den exportierten Schlüssel von der 
Festplatte auf ein externes Speicherme- 
dium, etwa Diskette oder Speicher-Stick. 
Machen Sie aber eine Kopie der Datei, da 
bei Schlüsselverlust keine Möglichkeit 
mehr besteht, an die Daten zu gelangen. 
Wollen Sie darauf zugreifen, importieren 
Sie den Key vom Medium per Doppelklick. 
Das ist zwar umständlich, aber sicher. 

Vergessen Sie nicht, das Zertifikat nach 
jeder Windows-Sitzung wieder von der 
Festplatte zu löschen, denn Windows legt 
den Zugangsschlüssel jedes Mal aufs 
Neue auf der Festplatte ab. 


Automatische Backups durchführen 


Komplette Datenträger sichern oder nur 
die Systemdateien — mit XP kein Problem. 
Das integrierte Backup-Programm ist 
über einen Assistenten einfach zu bedie- 
nen. Während Sie Ihre Windows-Parti- 
tion sichern, können Sie ohne spürbare 
Performance-Einbußen weiterarbeiten. 
Ein Sicherungsauftrag lässt sich auch zeit- 
gesteuert ausführen. Wer kein richtiges 
Backup fahren will, für den reicht die Sys- 
temwiederherstellung aus. Diese setzt 
nach einer Installation einen Wiederher- 
stellungspunkt, zu dem Sie jederzeit zu- 
rückkehren können. Stört etwa der neue 
Grafikkartentreiber das System beim 
Hochfahren, lässt sich per Tastendruck 
die alte Konfiguration wiederherstellen. 


Fazit: Sicher nur mit Updates 


Das überraschende Ergebnis 
Tests: Windows ist nicht so unsicher, wie 
viele glauben. Doch damit es so sicher 
wird, müssen Sie erst einmal rund 50 
MByte Patches und Service Packs einspie- 
len. Schade auch, dass gerade für die 
Hauptzielscheibe aller Virenautoren im- 
mer noch ein Virenscanner im Paket fehlt. 

Wer sein System mit Updates auf dem 
neuesten Stand hält, automatische Back- 
ups fährt und sein Dateisystem verschlüs- 
selt, ist mit XP auf der sicheren Seite. Nur 
bei der Benutzerverwaltung muss nach- 
gebessert werden. fabian.vonkeudell@chip.de 


unseres 
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& SuSE Linux 


Linux-User verlassen sich auf die Sicherheit ihres Systems, denn Viren und 
Würmer machten bislang keine Schlagzeilen. Doch ist das System wirklich 
sicher, oder gibt es bloß nicht genug Schädlinge, die für Wirbel sorgen? 


E Vorbildlich ist bei Linux die Unter- 
scheidung zwischen User ohne weiterrei- 
chende Rechte und Administratoren — ein 
Erbe von Unix. Viren und Würmer kön- 
nen daher im Ernstfall nur auf die einge- 
schränkten Rechte eines normalen Users 
zugreifen, der Schaden bleibt begrenzt. 


Sicherheit im Internet 


Schon beim „nackten“ SuSE Linux ent- 
deckt der Online-Check von Qualys (siehe 
Kasten Æ 53) deutlich weniger Lücken als 
bei Windows; die meisten in der niedrigs- 
ten Gefahrenstufe. Die Updates verän- 
dern diese Lückenstatistik allerdings 
nicht, erst wenn die integrierte Firewall 
manuell aktiviert wird, sind zehn weitere 
Lücken geschlossen. Trotzdem: fünf der 
untersten Gefahrenstufe bleiben übrig. 


Sicherheits-Updates installieren 


Wie bei Windows XP und MacOS X kön- 
nen die Updates über das Internet instal- 
liert werden. Der Haken: Nach der Instal- 
lation ist das automatische Update deak- 
tiviert, der Administrator muss es erst 


freischalten. Diese Einstellung können Sie 
ändern: Starten Sie Yast und aktivieren Sie 
im Modul »Software« die Option »On- 
line-Update«. Wählen Sie im nächsten 
Fenster »Vollautomatisches Update kon- 
figurieren« und setzen Sie einen Haken 
vor »Automatische Updates aktivieren«. 
Stellen Sie eine Uhrzeit für das tägliche 
Update ein, bestätigen Sie Ihre Eingaben, 
und das Auto-Update läuft. 


Firewall einschalten & einrichten 


Da die SuSE-Firewall nicht automatisch 
aktiviert wird, sollten Sie dies als erstes er- 
ledigen. Rufen Sie im Konfigurations- 
Manager Yast »Sicherheit und Benutzer« 
auf. Klicken Sie auf »Firewall« und wäh- 
len Sie die Netzwerk-Schnittstelle aus, die 
Sie schützen wollen. Bei einem Einzel- 
platzrechner mit DSL heißt das richtige 
Interface »ds10«. Klicken Sie auf »Weiter« 
und lassen Sie alle Checkboxen frei. Wäh- 
len Sie nochmals »Weiter« und aktivieren 
Sie unter »Firewall-Features« nur den Ein- 
trag »Alle laufenden Dienste schützen«. 
Server-Betreiber sollten sich zusätzlich 
überlegen, Ping-Anfragen zu filtern. Dazu 
müssen Sie die Konfigura- 


J Einrichten - Konqueror einrichten 


$ Verhalten von Java und JavaScript festlegen 


tionsdatei SuSEFirewall2 im 
Verzeichnis »/etc/sysconfig« 


lava | Javascript | 


m Globale Einstellungen 


bearbeiten. Als Administrator 


[C] lavaScript global aktivieren 


Java & JavaScript 


[Ü) Fehler melden 


„Root“ öffnen Sie die Datei 
mit einem Editor und setzen 
den Wert der Variablen 


C) Debuge 


Peia m Domain-spezifisch 


Rechner/Domain Regelungen 


»FW_ALLOW_PING_FW« 


= localhost Annehmen 
Web-Tastenkürzel 


Verlaufsbereich 


auf »no«. Damit verbieten Sie 
Ihrer Schutzmauer, auf Pings 
zu antworten. 


= m Globale JavaScript-Regelungen 


Cookies Neue Fenster öffnen: ®) Zulassen 


Fenstergröße verändern: =) Zulassen 


Fenster verschieben: =) Zulassen 
Zwischenspeicher 
Fenster aktivieren: 


=) Zulassen 
vi 


Sicher: Das Verhalten von Java und JavaScript lässt 


sich im Konqueror bequem einstellen. 


C) Nachfragen 


Browser konfigurieren 

Die SuSE-Standard-Installa- 
tion nimmt als Web-Browser 
Konqueror, der auch als Da- 
tei-Manager und FTP-Client > 


C) Ignorieren 
A Ignorieren 


`) Ignorieren 
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arbeitet. Kurios: Unser Sicherheits-Check 
für Browser verweigert beim ersten 
Versuch seinen Dienst. Der Grund: Kon- 
queror meldet sich als Netscape 5. Das 
können Sie über »Einstellungen | Kon- 
queror einrichten/Browser-Identifizie- 
rung« ändern. Entfernen Sie das Häkchen 
vor »Kennung senden«. 

Der Browser-Check fand beim Kon- 
querer keine einzige Sicherheitslücke. Der 
Test auf Cross-Site-Scripting (erzwungene 
Umleitung per Skript auf andere Web- 
sites) wurde allerdings mit einer Fehler- 
meldung abgebrochen. 

Java und JavaScript sind automatisch 
aktiviert. Wer darauf verzichten kann, 
schaltet das besser ab. Gehen Sie dazu in 
»Einstellungen | Konqueror | Java&Java- 
script« und entfernen Sie die Häkchen vor 
»Java global entfernen« und »Javascript 
global entfernen«. Die unsicheren Micro- 
soft-Techniken ActiveX und VisualBasic- 
Script beherrscht der KDE-Browser nicht. 
Unser Tipp: Tauschen Sie den Standard- 
Browser gegen Mozilla Firefox aus, der ist 
genauso sicher, aber viel komfortabler. 


Virenschutz aktivieren 


Digitale Schädlinge sind unter Linux 
Nebensache. Der russische Sicherheits- 
Experte Eugene Kaspersky ist sich zwar si- 
cher, dass dies nur an der eingeschränkten 
Verbreitung von Linux liegt. Stand der 
Dinge ist jedoch, dass es so gut wie keine 
bedrohlichen Linux-Viren gibt. 

Ein Scanner fehlt zwar in der Stan- 
dard-Installation, im Gegensatz zu Win- 
dows wird er aber zumindest mitgeliefert: 
Auf den SuSE-CDs oder -DVDs finden 
Sie AntiVir von H+BEDV. Geben Sie nach 
der Installation in einer Root-Shell den 
Befehl »antivir -update« ein. Die Soft- 
ware besorgt sich auf diese Weise die 
aktuellen Virensignaturen per Internet. 


Sicherheit auf dem Rechner 


Bei der SuSE-Installation müssen Sie 
neben einem Root-Account als Adminis- 
trator auch mindestens einen normalen 
Benutzer festlegen. Wer sich auf der grafi- 
schen Oberfläche als „Admin“ anmeldet, 
bekommt zur Warnung einen knallroten 
Desktop präsentiert, der mit hochgehen- 
den Bomben gespickt ist. Spätestens 
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Denn als Administrator dürfen Sie 
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© Schlüsselgenerierung - KGpg = 


r-Schlüsselpaar generieren 


unter Linux so ziemlich alles än- Name: 
dern. SuSE setzt die Trennung von Joerg Geiger 
Benutzer und Root strikt um, E-Mail: 


denn sobald ein normaler Anwen- 


lioerg geiger@chip.de 


Kommentar (optional) 


der versucht, Änderungen am Sys- 
tem vorzunehmen, fragt ein auf- 


r Gültig bis: 
springendes Fenster nach dem = : 
Root-Passwort. Unendlich || 3 | 

. Schl Igröße: 

Benutzerkonten sichern ~ aaa siaa = Z 

, n . 1024 ş 
Linux ist ein Mehrbenutzer-Sys- 

Algorithmus: 

tem, das bedeutet, alle Benutzer 

5 . AR | DSA & EiGamal z 
müssen sich explizit anmelden. 
Theoretisch zumindest, denn SuSE OR — ) — 


schaltet für den ersten angelegten 
Benutzer die automatische Anmel- 
dung frei. Damit kommt jeder, der 
diesen Rechner einschaltet, an Ihre 
Daten — unsicherer geht es kaum. Deakti- 
vieren Sie deshalb im Modul »Benutzer 
bearbeiten und anlegen« unter »Sicher- 
heit und Benutzer« die automatische An- 
meldung. Wählen Sie dazu den automa- 
tisch angelegten Benutzer aus und klicken 
Sie auf »Optionen für Experten«. Als 
nächstes drücken Sie auf »Einstellungen 
für das Anmelden«. Entfernen Sie jetzt 
den Haken vor »Automatische Anmel- 
dung«. Auch »Anmeldung ohne Pass- 
wort« sollten Sie nicht aktivieren. 


Passwörter verschlüsseln 


Die Passwort-Sicherheit unter Linux hat 
sich bewährt: Passwörter werden mit 
einem Sicherheits-Algorithmus codiert 
und in der Datei »/etc/shadows« abgelegt, 
die nur für den Benutzer „Root“ lesbar ist. 
Auch SuSE bietet eine Passwort-Ver- 
schlüsselung: Öffnen Sie das Yast-Modul 
»Sicherheit und Benutzer« und gehen Sie 
ins Untermenü »Einstellungen zur Sicher- 


Einstellungen für das Anmelden unter KDM 
IC] Automatische Anmeldung 


a 


IC] Anmeldung ohne Passwort 


Unknackbar: Linux kann das Filesystem Ihrer 
Festplatte mit dem DSA-Algorithmus sichern. 


heit«. Für Einzelplatzrechner mit Inter- 
netzugang ist die Sicherheitsstufe »Level 1« 
gedacht. Markieren Sie die entsprechende 
Checkbox und klicken Sie auf »Beenden«. 


Dateisystem codieren 


Verschlüsselung gehört bei SuSE dazu. 
Schon bei der Installation lassen sich gan- 
ze Partitionen mit einem Krypto-Datei- 
system ausstatten. 

! ACHTUNG: Wenn Sie das Krypto-File- 
system einsetzen wollen, müssen Sie es 
schon bei der Installation explizit ein- 
schalten, denn nachträgliches Verschlüs- 
seln wirkt wie neu formatieren und führt 
zu komplettem Datenverlust. 

Dateien und Verzeichnisse können Sie 
unter KDE mit „KGpg“ (das Pendant zu 
PGP in der Windows-Welt) verschlüsseln. 
Im Kontextmenü des Konquerors wählen 
Sie unter »Aktionen« den Eintrag »Ord- 
ner packen und verschlüsseln« aus. Ha- 
ben Sie noch kein Schlüsselpaar angelegt, 

werden Sie jetzt automatisch 
aufgefordert, dies zu tun. Ein 
Assistent führt Sie durch die- 
sen Prozess. Wenn Sie zuvor 
schon gültige Keys erzeugt 
haben, können Sie diese über 
die Schlüsselverwaltung von 
„KGpg“ auswählen. Zum Ent- 


|  Verwerten || Hilfe 


Manuell ist besser: Schalten Sie die Anmelde-Auto- 
matik aus und melden Sie sich immer am Rechner an. 


schlüsseln verwenden Sie ein- 
fach das Passwort, das Sie bei 
der Erzeugung der Schlüssel 
festgelegt haben. 
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Backups durchführen 

Die Funktionen für Backup und System- 
wiederherstellung finden Sie in Yast unter 
»System«. Der Backup-Assistent speichert 
die Systemdateien wahlweise lokal auf 
der Festplatte oder auf einem NFS-Server. 
Bei der Wiederherstellung müssen Sie 
nur die Backup-Datei auswählen, alles 
weitere erledigt das System. Vorbildlich: 
SuSE legt einmal am Tag automatisch 
eine Kopie der zentralen Konfigurations- 
Datei RC.CONFIG an. 

Leider können Sie mit Yast automati- 
sche Backups nicht Ihren Wünschen an- 
passen. Wer sein System in regelmäßigen 
Abständen sichern will, muss einen Cron- 
Job anlegen. Cron-Jobs sind Prozesse, die 
automatisch vom System gestartet wer- 
den und beispielsweise tägliche oder wö- 
chentliche Aufgaben definieren. Möchten 
Sie den Job täglich ausführen lassen, legen 
Sie ein Shell-Skript im Verzeichnis 
»/etc/cron.daily« ab. Es wird dann jeden 
Tag automatisch abgearbeitet. Wann das 
passiert, steht in der Datei »/etc/crontab«. 
Sie synchronisieren die tägliche Arbeit an 
einem Artikel per Cron-Job mit diesem 
Shell-Skript im Backup-Verzeichnis: 


#!/bin/sh 

#Backup-der Artikel-von Joerg 
rsync:-av’/home/joerg/artikel/ 
/backup/artikel/ 


Fazit: Sicher mit wenigen Tricks 


Das gegenwärtige Dilemma von Linux: Es 
soll einfach genug sein, um Einsteiger in 
die Linux-Welt zu locken, und zugleich 
bombensicher. In SuSE geht der Komfort 
für den Nutzer an einigen Stellen zu weit, 
die Standard-Installation ist nicht perfekt 
abgesichert. Durch automatisches Login 
oder die Vorkonfiguration des SSH-Diens- 
tes (sehr sicheres Kommandozeilen-Tool 
via Internet) entstehen Angriffspunkte 
auf ein sonst sicheres Betriebssystem. 
Ähnliches gilt für die ausgeschaltete Fire- 
wall. Bei den Updates dagegen fehlt es an 
Komfort, das Auto-Update muss erst frei- 
geschaltet werden. Vorteil von SuSE: Die 
CDs enthalten alle nötigen Sicherheits- 
Tools. Auch die Wurm-Epidemie ist unter 
Linux kein Thema, das verhindert die 
vorbildliche Trennung von Administrator 
und gewöhlichem User. joerg.geiger@chip.de 
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gi MacOS X 


Apple-User sind sich einer Sache gewiss: OS X ist sicher. Schaut man sich unsere 
Testergebnisse an, dann sieht es ganz so aus. Doch in letzter Sekunde erreichte 
uns eine Nachricht, die schnelle Patches auch für Macianer notwendig macht. 


E MacOS X basiert auf „Darwin“, 
einem angepassten Unix. Bislang 
galt es als sicher, doch mit der 
Einführung von „Panther“ und 
dem neuen Kernel kann sich das 
ändern. Das Thema Viren spielt = 
auf dem Mac kaum eine Rolle — 
etwa fünf Prozent Marktanteil 
machen das MacOS für Hacker 
uninteressant. Derzeit sind nur 
30 Viren bekannt, die die Plattformen bis 
zur Version 9.2.2 angreifen. 


Sicherheit im Internet 


Macianer dürfen sich freuen: Schon in der 
ungepatchten Installation erkennt unser 
Lücken-Test (siehe 953) die wenigsten 
Lecks, alle in der niedrigsten Stufe. Nach 
dem Anpassen der Firewall bleiben nur 
noch zwei harmlose Lücken offen. 


Sicherheits-Updates einspielen 


Wie schon Windows XP und SuSE Linux 
bietet MacOS X eine automatische »Soft- 
ware Aktualisierung«. Sie überprüft regel- 
mäßig, ob auf den Apple-Servern Updates 
vorhanden sind. Diese können Sie direkt 
installieren oder nur speichern. Nicht be- 
nötigte Updates lassen sich ausblenden. 
Über die »Software Aktualisierung« in- 
stallierte Updates werden in einer zentra- 
len LOG-Datei verwaltet. 


Firewall konfigurieren 


Die Firewall ist automatisch aktiviert, das 
erklärt auch das gute Abschneiden beim 
ersten Test-Durchlauf. Leider lassen sich 
über »Firewall« kaum Einstellungen vor- 
nehmen: Sie können die vordefinierten 
Firewall-Regeln nicht weiter anpassen 
und auch nicht durch eigene Regeln die 
Dienste auf bestimmten Rechnern und 
Netzwerken einschränken. Außerdem 


@) 1 Objekt installieren.. 


Installieren Name Version Größe 
Security Update 2004-05-03 10 42 MB 
Pause ) 


Security Update 2004-05-03: Laden (1,1 MB von 4,2 MB) 


Einfach: Wie bei den Mitkonkurrenten können Sie 
bei Apple Updates automatisch einspielen lassen. 


bleiben alle UDP-Ports außen vor. Scha- 
de, denn ein BSD-Paketfilter für TCP, 
UDP, ICMP und IGMP (siehe Glossar auf 
954) ist mit „ipfw“ in MacOS X schon 
enthalten. Offensichtlich will Apple sei- 
nen Kunden aber nur eine einfach zu 
konfigurierende Firewall anbieten, die 
beim Starten von Diensten wie „Apple 
File Sharing“ und „Windows Sharing“ 
automatisch Zugriff gewährt. 

Um auch ipfw einfach konfigurieren 
zu können, brauchen Sie die Shareware 
Brick-House (http://personalpages.tds. 
net/-brian_hill/brickhouse.html). Damit 
schließen Sie vier der sechs von Qualys ge- 
fundenen Sicherheitslücken. So geht's: 
Nach dem Start führt Sie ein Assistent 
durchs Procedere. Sie müssen sich durch 
Klicken auf das „Schloss“ als Administra- 
tor identifizieren. Legen Sie Ihre Internet- 
verbindung (Ethernet, DSL-Modem, nor- 
males Modem) und die Art fest, wie Sie 
Ihre IP beziehen. Meist geschieht dies dy- 
namisch durch den Provider. Übersprin- 
gen Sie die folgenden Dialogfelder und 
klicken Sie zum Abschluss auf »Done«. 

Sie können nun die Firewall aktivieren 
und Regeln hinzufügen, etwa um die bei- 
den noch offenen Ports 514 und 1434 zu 
schließen. Klicken Sie dazu auf »Add Fil- 
ter« und fügen Sie als »Deny«-Regel für 
eingehende Verbindungen den UDP-Port 
514 hinzu. Gleiches gilt für Port 1434. Um 
das System vor Ping- und Traceroute- > 


AKTUELL Migi Test: Betriebssysteme 


A BrickHouse Setup Assistant 


External Network 
Click the lock button below to start setting up your f 
How do you connect to the internet? 
DSL or Cable Ethernet (Regular Ethernet) [3] 


(Q) My internet address is assigned automatically (Dyn: 
O I configure my internet address manually (Static) 


IP Addre 


( Open Net 


AN S 
( @ } Click the lock to enable the Setup Assistant (Cancel 


Schützt vor Eindringlingen: Die Firewall 
BrickHouse erweitert den Schutz in OS X. 


Anfragen zu schützen, müssen Sie die 
Regeln anpassen. Klicken Sie auf »Advan- 
ced« und deaktivieren Sie »Allow All 
ICMP Traffic« sowie »Allow FTP Data 
Port«. Auch »Allow Network Time« deak- 
tivieren Sie. Bedenken Sie aber, dass An- 
passungen im ICMP-Bereich, je nach Pro- 
vider, Probleme bei der Einwahl verursa- 
chen können. Um die Einstellungen fest- 
zulegen, klicken Sie auf »Apply«, dann auf 
»Install« und danach auf »Save«. 


Internet-Browser sichern 


Apple liefert mit OS X den Browser „Safari“ 
aus, Microsofts Internet Explorer wird 
nicht mehr installiert. Prinzipiell setzt 
Apple auf strikte Deaktivierung aller ge- 
fährlichen Dienste und gibt diese nur frei, 
wenn der User explizit zustimmt. Da Ac- 
tiveX unter MacOS ohnehin kein Thema 
ist, sollten Sie in Safari unter »Sicherheit« 
noch Java und JavaScript deaktivieren. Im 
Browser-Test haben wir Safari mit Stan- 
dardeinstellungen dem Online-Check 
unterzogen. Ergebnis: keine Lücke — zu- 
mindest war das bis Mai 2004 so. Seither 
sind gravierende Lücken entdeckt wor- 
den. Was Sie dagegen tun können, steht 
im Kasten rechts. 


Virenschutz einrichten 


Ist OS X sicher vor Viren, Würmern und 
Trojanern? Noch ja. Doch am 8. April 
2004 machte die Sicherheitsfirma Intego 
auf eine Gefahr aufmerksam: Das Unter- 
nehmen gab an, dass ein Programmierer 
zu Testzwecken den Trojaner „MP3Con- 
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cept“ entwickelt habe. Mit i-Tunes, 
Apples Jukebox, richtet die infizierte 
Datei keinen Schaden an. Öffnet man sie 
aber im »Finder«, startet der Virus einen 
fingierten Angriff. Bei ihm handelt es sich 
um ein „Proof of Concept“ — Schäden 
bleiben also aus. Das Beispiel zeigt aber, 
dass auch OS X in Gefahr ist. 

Einzig Makro-Viren sind ein Thema: 
Sie können auch bei „Office:mac“ Scha- 
den anrichten. Aktivieren Sie einfach den 
Makroschutz in Word und Co. Sollten Sie 
Ihren Apple tatsächlich einen 
Virenscanner kaufen wollen, bietet sich 
VirusBarrier von Intego an. Mehr Infos 
unter www.intego.com/virusbarrier. 


für 


Sicherheit auf dem Rechner 


Lokale Anmelde-Kennwörter zurückzu- 
setzen ist bei OS X leider noch simpler als 
bei Windows XP: Installations-CD rein, 
Rechner neu starten und die [C]-Taste ge- 
drückt halten. Schon kann ein böswilliger 
Kollege alle Kennwörter zurücksetzen. 


Firmware-Passwort setzen 


Richten Sie deshalb ein Firmware-Pass- 
wort (quasi ein BIOS-Passwort) ein. Vor- 
aussetzung: Ihr Rechner verfügt über die 
aktuelle Firmware (ab 4.1.7). Um das zu 
prüfen, klicken Sie im »Apfel«-Menü auf 
»Über diesen Mac«, dann auf »weitere In- 
formationen«, um den »System-Profiler« 
zu starten. In der Hardware-Übersicht 
steht die Firmware-Version unter »Boot- 
ROM-Version«. Legen Sie nun die erste 
Installations-CD ein und wechseln Sie in 
das Verzeichnis »Applications/Utilities«, 
starten Sie das Tool Open Firmware Pass- 
word und klicken Sie auf »Ändern«. 
Nachdem Sie sich mit Ihrem Administra- 
tor-Passwort authentifiziert haben, akti- 
vieren Sie »Ein Kennwort verlangen« und 
geben ein Firmware-Kennwort ein. 


Sichere Kennwörter verwenden 


Lokale Passwörter speicherte MacOS X 
bis zur Version 10.2 im Verzeichnisdienst 
Netinfo. Über diesen war das Knacken 
von Passwörtern recht einfach. Seit Ver- 
sion 10.3 legt OS X Passwörter aus- 
schließlich als „S;hadow-Passwort“ ab, sie 
sind nur noch in Sternchen sichtbar. Ein 
Auslesen über den Befehl »nidump 
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passwd.« ist also nicht mehr möglich. In 
10.3 sind Passwörter mit mehr als acht 
Stellen erlaubt. Systeme, die von 10.2 auf 
die aktuelle Version gepatcht wurden, kön- 
nen noch alte gehashte Passwörter enthal- 
ten. Überprüfen Sie dies ebenfalls mit 
»nidump passwd.«. Sollten Sie gehashte 
Einträge finden, ändern Sie alle Passwör- 
ter in der Systemeinstellung »Benutzer«. 


Benutzerverwaltung absichern 


OS X trennt die Rechtevergabe in drei 
Nutzertypen auf: „Standard-Benutzer“ 
„Administratoren“ und „Root“. Stan- 
dard-Benutzer lassen sich mit individuel- 
len Einschränkungen versehen und kön- 
nen Home-Verzeichnisse anderer User 
nicht lesen oder löschen. Administratoren 
können keine Systemdateien löschen, das 
bleibt dem „Root“ vorbehalten. Die Be- 
nutzerverwaltung ist damit mindestens 
genauso sicher wie unter Linux. Der erste 
User, den Sie bei der Installation anlegen, 
ist automatisch Administrator. Die Be- 
nutzerverwaltung wird zentral über die 
Systemeinstellung »Benutzer« vorgenom- 
men. Sollte das Schloss-Symbol geschlos- 
sen sein, melden Sie sich als Admin an. 
Damit aber ein lokaler Angreifer erst gar 
nicht sieht, welche User auf dem System 
angelegt sind, schalten Sie auf alle Fälle 
die automatische Anmeldung ab: Klicken 
Sie auf »Anmelde-Optionen«, deaktivie- 
ren Sie die automatische Anmeldung und > 


IN LETZTER SEKUNDE 
»Neue Lücke in OS X 


Nach Abschluss unseres Tests wurde 
eine gravierende Sicherheitslücke in 
OS X entdeckt, die neben Safari auch 
alle anderen Browser unter OS X be- 
trifft. Durch sie kann ein Angreifer über 
eine „präparierte“ URL im Hintergrund 
ein Disk-Image laden, das beispiels- 
weise über ein Skript das komplette 
Home-Verzeichnis löscht, ohne dass es 
der User bemerkt. Apple hat zwar einen 
Patch bereitgestellt, der behebt aber 
nicht alle Probleme. Wirklich sicher 
sind Sie nur mit dem Tool „Paranoid 
Android“. Diese Freeware schützt auch 
vor dem so genannten HelpViewer, der 
ähnliche Probleme macht. 

Weitere Infos dazu finden Sie unter: 
www.unsanity.com/haxies/pa 
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ändern Sie das Anmeldedialogfeld auf 
»Name und Kennwort«. Auch die Optio- 
nen »Ruhezustand«, 
»Ausschalten« deaktivieren Sie. Dies ver- 
hindert, den Rechner aus dem Anmelde- 
status heraus neu zu starten. Weitere Ein- 
stellungen nehmen Sie unter »Systemein- 
stellung | Sicherheit« vor. Schalten Sie 
dort den Kennwortschutz für den Bild- 
schirmschoner und den Admin-Zugriff 
für alle Systemeinstellungen an und er- 
zwingen Sie somit bei Inaktivität die 
automatische Abmeldung vom System. 


»Neustart« und 


Dateien und Ordner verschlüsseln 


Zum Verschlüsseln von Dateien, liefert 
OS X das Verfahren OpenSSL mit. Damit 
Sie leichter arbeiten können, setzen Sie 
die Shareware „PuzzlePalace“ (http://per 
sonalpages.tds.net/-brian_hill/puzzle 
palace.html) ein. Damit konfigurieren 
Sie die als sicher geltenden Verschlüsse- 
lungs-Algorithmen Blowfish Cipher, Tri- 
ple DES, DEA, CAST oder RC5. Wählen 
Sie eine Methode, ziehen Sie die ge- 
wünschte Datei auf das geöffnete Pro- 
gramm und vergeben Sie ein Kennwort. 

Für mobile Zeitgenossen ist »File 
Vault« unter »Systemeinstellung | Sicher- 
heit« optimal. Das Tresor-Symbol steht 
für die 128-Bit-Verschlüsselung des Home- 
Verzeichnisses. Bei der Anmeldung eines 
berechtigten Users wird das verschlüsselte 
Home-Verzeichnis geöffnet und steht für 
die Dauer der Session bereit. Andere an- 
gemeldete User haben keinen Zugriff auf 
diesen Bereich. Bevor Sie FileVault nutzen 
können, müssen Sie das Haupt-Kennwort 
setzen. Danach aktivieren Sie FileVault, 
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ditto -rsrc /Users/admin /Volumes/HD2/BU/admin 
_ "/usr/bin/open”-Präfix ( Suchen... 
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Zeitgesteuert: Mit Hilfe des Assistenten 
richten Sie ein automatisches Backup ein. 
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das Home-Verzeichnis wird automatisch 
verschlüsselt. Das Kopieren großer Daten- 
mengen aus dem Home-Verzeichnis kann 
wegen der Verschlüsselung lange dauern. 


Automatische Backups anlegen 


In OS X gibt es kein Tool, das automati- 
sche Sicherungen erzeugt. Sie können 
aber einen Cron-Job einrichten, der zeit- 
gesteuert Befehle ausführt. Dazu eignet 
sich die Freeware CronX 2.1. Nach dem 
Start klicken Sie in der Titelleiste auf 
»Neu«. Wählen Sie »Einfach« und legen 
Sie unter »Minute«, »Stunde« und »Wo- 
chentag« den Startzeitpunkt fest. Starten 
Sie das Backup mit »ditto -rsrc /Users/ 
admin/Volumes/HD2/BU/admin«. Damit 
wird das Home-Verzeichnis des Users 
„admin“ auf die Partition HD2 im Ver- 
zeichnis BU gesichert. 


Backups verschlüsseln 


Das „Festplatten Dienstprogramm“ si- 
chert Festplatten, Partitionen, Verzeich- 
nisse und Dateien in ein Image. Vorteil: 
Das Image lässt sich mit 128 Bit ver- 
schlüsseln. Starten Sie das Tool unter 
»/Programme/Dienstprogramme«. Wäh- 
len Sie »Images | Neu | Image von Ord- 
ner«. Über den Datei-Browser markieren 
Sie nun das zu sichernde Verzeichnis und 
drücken auf »Öffnen«. Vergeben Sie einen 
Namen und legen Sie den Speicherort 
fest. Nun aktivieren Sie das gewünschte 
Image-Format und die Verschlüsselung. 
Klicken Sie auf »Sichern«, und der Vor- 
gang startet. Das Image lässt sich via Dop- 
pelklick als Laufwerk einbinden. 


Fazit: Bis jetzt sehr sicher 


Im Rohzustand ist OS X von außen kaum 
angreifbar. Im lokalen Bereich hingegen 
stehen die Tore offen. Schade, dass Apple 
hier zu wenig tut, um seine Kunden über 
Schutzmaßnahmen zu informieren. Denn 
mit wenig Aufwand lassen sich die meis- 
ten Sicherheitslöcher stopfen. Dafür lie- 
fert Apple das neue MacOS X „Panther“ 
mit sinnvollen Sicherheits-Features aus, 
darunter Software aus der Open-Source- 
Szene. Wer noch mehr Sicherheit will, 
spielt ein paar Freeware- oder Shareware- 
Tools ein. Profi müssen Sie also nicht sein, 
Unix-Kenntnisse sind jedoch vorteilhaft. 

Daniel Schmid, autor@chip.de 
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GESAMT-FAZIT 
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Windows, Linux, Apple: 

Welches OS ist das sicherste? 


Sind Sie auch der Meinung, dass Win- 
dows total unsicher ist? So denken viele 
— und täuschen sich. Die große Über- 
raschung unseres Tests: Das viel 
geschmähte Microsoft-Betriebssystem 
hat gezeigt, dass es besser ist als sein 
Ruf. Allerdings — und das relativiert un- 
ser Ergebnis wieder — braucht es dazu 
jede Menge Patches und das aktuelle 
Service Pack 2. Ohne diese zeigt Win- 
dows nicht nur die meisten, sondern 
auch die schlimmsten Sicherheits- 
lücken; nach den Updates sind aber 
alle geschlossen. Linux und Apple sind 
zwar von Haus aus weniger anfällig, 
dafür bleiben nach den Updates noch 
kleinere Lücken offen. 

Wo also liegen die Unterschiede? 
Geht es um Viren, Würmer und Trojaner, 
kommt Windows XP derzeit am 
schlechtesten weg. Der Grund: Das Sys- 
tem bringt keinen Virenscanner mit und 
ist wegen seiner Verbreitung (auf Desk- 
top-Systemen rund 90 Prozent) das pri- 
märe Angriffsziel von Hackern. 

Auch bei der lokalen Sicherheit 
schwächelt Windows. Denn in diesem 
Bereich ist es kaum konfigurierbar. An- 
ders bei MacOS und SuSE Linux: Zwar 
ist dazu bei beiden Handarbeit nötig, 
danach sind sie aber deutlich besser ge- 
gen lokale Angriffe geschützt. Zusätz- 
lichen Schutz verschafft ein verschlüs- 
selbares Dateisystem, das aber nur Li- 
nux bietet. Apple und Windows können 
ohne zusätzliche Software nur Ordner 
und einzelne Dateien verschlüsseln. 

Alle drei Systeme überzeugen mit 
Update-Routinen. Damit halten Sie Ihr 
System immer auf dem neuesten Stand. 
Im Falle von Windows ist das auch drin- 
gend nötig, denn das System aus Red- 
mond bleibt Hauptziel aller Hacker. 
Aber auch Apple gibt Anlass zur Sorge: 
Die jüngst entdeckten Sicherheits- 
lücken sind gravierend, hier wäre ein 
schneller Patch nötig gewesen. Apple 
und Microsoft (nur mit Service Pack 2) 
setzen inzwischen auf eine standard- 
mäßig aktivierte Firewall, bei SUSE Linux 
muss sie erst manuell aktiviert werden. 


